Etiket: Bilişim Sistemleri

  • ALDATMA SANATI

    ALDATMA SANATI

    Şimdi sizlerle biraz uzun ancak kesinlikle çok büyük dersler içeren bir hikaye paylaşmak isterim.

    “Ticari Kimlik”

    Özel dedektif Oscar Grace’e karısının kendisini aldatıp aldatmadığını öğrenmek isteyen her zamanki müşteri profilinden farklı birisi ziyaret etmişti bu sefer. Müşteri bir kadındı. Kocası ile arası bozuktu, henüz karar resmiyet kazanmasa da muhtemelen yakın zamanda boşanacaklardı. Bey de bunu bildiğinden var olan yüklü parasını muhtemelen başka bir bankaya kaçırmıştı. Özel dedektif Grace’den istenen şey, paranın hangi bankaya ya da bankalara kaçırıldığı idi. Tarih bilgisayar ağlarının bu kadar yaygın olduğu bir tarih olmadığından, avukatınızın becerisine kalmıştı bu iş ama avukatınızın her bir bankayı tek tek arayarak bunu öğrenmeye çalışması da hem pek yasal hem de olanaklı değildi açıkçası.

    O günlerde Amerikan Bankaları kendilerine yeni bir müşteri geldiği zaman onun sicilini öğrenmek için CreditChex şirketinin sunduğu hizmetleri kullanıyorlardı. CreditChex bir veritabanı idi. Hesap açtırmak ya da kredi çekmek isteyen bir müşteri bankaya uğradığında, memur CreditChex’i arayarak kişiyi sorgulatıyor ve sicilinin temizliği hakkında bilgiler alıyordu.

    Grace’in ilk işi müşterisinin boşaltıldığını iddia ettiği hesabın bulunduğu banka şubesini aramak oldu.

    1. adım: Terminolojiyi öğren (Not: Aşağıdaki diyalog İngilizce aslından kurgulanmış ve özetlenmiştir).

     

    Grace    : Merhaba.
    Kim        : Merhaba ben Kim, nasıl yardımcı olabilirim?
    G            : Şey… CreditChex’i aradığınızda kendinizi neyle tanıttığınızı merak etmiştim.
    K             : Nasıl yani?
    G            : Hani sizin aradığınızı nasıl ve nereden biliyorlar?
    K             : Bu bilgiyi sizinle paylaşamam.
    G            : Yanlış anladınız hanım efendi. Ben bir kitap yazıyorum ve terminolojinin doğru olmasını istiyorum. Öğrenmek istediğim şey oraya vermiş olduğunuz isim ya da numara değil. Yani bu tam olarak ne diye anılıyor? “Kimlik Numarası”, “Müşteri Bilmemnesi” gibi. Sorduğum şey sadece bu şeyin tam olarak nasıl anıldığı.
    K             : Haaa… Anladım. Desenize… Kusura bakmayın. Bir an için bizim ticari kimliğimizi soruyorsunuz sandım. Öğrenmek istediğiniz şeyin adı “Ticari Kimlik”. Her bankanın CreditChex tarafından tahsis edilen bir ticari kimliği vardır.
    G            : Çok teşekkürler Kim! Kitabım sayende daha güzel ve doğru olacak.
    K             : Ne demek , rica ederim. İyi çalışmalar.

    2. adım: Şubenin numarasını ve prosedürlerini öğren.

     

    Grace    : Merhaba. Ben CreditChex’ten Alex. Hizmet kalitemizi arttırmak için küçük bir anket uygulamaktayız. Beş dakikanız var mı?
    Chris      : Tabi, buyrun.
    Grace    : Mesai saatleriniz nedir? (Chris yanıt verir.)
    Şubenizde kaç kişi çalışıyor?
    (Burada gerçek amacı gizleyen bir dizi soru soruyor…)
    Hizmetlerimizden faydalanmak için hangi telefon numaralarımızı kullanıyorsunuz?
    Ticari Kimliğiniz nedir?
                    (Burada yine bir takım sorular soruluyor. Sırf şüphe dağıtmak için…)

                     Zaman zaman sizi tekrar arayarak çeşitli anketler uygulamamızı ister miydiniz?

     

    3. adım: CreditChex’i ara ve bilgiyi al!

    Grace, bir öncek kurbanından öğrendiği numarayı çevirir.

    Grace    : Merhaba.

    Henry    : Merhaba ben CreditChex’ten Henry McKinsey, nasıl yardımcı olabilirim?

    G            : Selam Henry. Yeni bir müşterim var da, sorgulamak istiyorum.

    H             : Tabi. Ticari kimliğiniz?

    G            : [Burada Ticari Kimlik No’sunu söylüyor. Müşterisinin kocasına ait olan gerekli bilgileri veriyor.]

    H             : Sadece bir adet gecikmiş kredi borcu var ama hemen kapatmış. $2600 tutarında bir şey zaten.

    G            : Hımm… Peki şu sıralar başka bankalardan da sorgulayan oldu mu?

    H             : Bakalım… Hım… Üç defa. İkisi geçen ay. [Burada sorgulayan bankaların ve şubelerin adını veriyor.]

    G            : Sağol Henry.

    Böylece geçen ay açılan iki yeni hesabın nerede olduğu belli oldu!

    Yine insan faktörü

    Yukarıdaki hikayeyi Kevin Mitnick’in yazmış olduğu “Aldatma Sanatı” kitabından aldım.

    1963 doğumlu Kevin David Mitnick, ilk bilgisayar korsanlarından. Bir ara FBI’ın en çok arananlar listesine girebilecek kadar da tehlikeli(!). Fujitsu, Motorola, Nokia, Sun Microsystems gibi dev firmaların sistemlerine girerek bilgi aşırmak gibi kayıtları da var. 1995’te yakalanarak beş yıl hapse mahkum olmuş, 2003’e kadar da bilgisayara yaklaşma yasağı getirilmiştir. İşletmelere yönelik “Aldatma Sanatı” (The Art of Deception) adlı kitabı yazarak tecrübelerini aktaran Mitnick, bugünlerde tehlikeli bir korsan değil ve Dünya çapında siber güvenlik hususlarında konferanslar veriyor.

    Mitnick’in en temel argümanı şu: Şirketler güvenlik dendiğinde sadece yazılım ve donanım olarak düşünüyor ve güvenlik için bu sistemlere çok büyük paralar yatırıyorlar. Oysa en önemli taraf gözden kaçıyor: “İnsan Faktörü”.

    Havacılıkta da aşina olduğumuz ve pek çok kazanın sebebi olarak ortaya çıkan insan faktörünün tam olarak Mitnick’in söylediği anlamda da önemi büyük. Yukarıda kendisinin kitabından aktardığım örnekte de gördüğünüz gibi, bir “sosyal mühendis” doğru sıralama ve jargonu kullanarak insan faktörlerinden mümkün olduğunca faydalanabilir ve bu sayede pek çok bilgiye ulaşabilir.

    “Peki havacılık ile ilgisi nedir?” diye sorabilirsiniz.

    Başta iş jeti operasyonları olmak üzere hava operasyonları bir takım kritik malzemenin transferi ya da yüksek öneme haiz kişilerin (devlet görevlileri, şirket yöneticileri, ticari ya da politik değeri olan kimsler) taşınmasını gerektirebilir. Bu yüzden aslında uçakta taşınan yolcu listesi ve kargo listesinin bazı kötü niyetli kişilerce önemi bulunabilir. Hatta aslında hangi bilginin kimin ne işine yarayacağını da kestirmek zor. Yukarıda örnek olarak verdiğim hikayede, “Ticari Kimlik” jargonunu bir başkasının öğrenmesinde herhangi bir sakınca olduğunu düşünmeyen banka çalışanının zincirleme olarak neye imkan verdiğini görüyoruz. Sadece ufacık bir terimi öğrenmek, sıradaki adımda bazı telefon numaraları ve kimlik bilgisini elde etmek ve en sonunda da amaca ulaşmak gibi sonuçları beraberinde getirebilir.

    Havacılık bir operasyonun her kademesinde pek çok insanın görev aldığı büyük bir organizasyon işi. Yüksek öneme haiz bilgilerin operasyon sırasında üçüncü kişilerin eline geçmesine engellemeye yönelik prosedürler pek az şirket tarafından uygulanıyor. Bu hususta yeterli bir kontrol olduğunu da sanmıyorum. Küçük bilgi sızıntılarının emniyet ve güvenlik riskleri doğurabileceği de muhtemel.

    Bu noktada çalışan ve yöneticilere sesleniyorum: Yukarıdaki hikayeden gerekli dersleri çıkarmanızı temenni eder ve Mitnick’in kitabını herkese tavsiye ederim.

    İyi haftalar.

    Not: Kitap ODTÜ Geliştirme Vakfı Yayınları tarafından “Aldatma Sanatı” ismiyle yayınlanmıştır.